Passwort-Manager von Dell entlastet den Helpdesk Komplexe Kennwörter einfach verwalten

Autor / Redakteur: Robert Waldinger, Dell Software / Stephan Augsten

Für den Zugriffsschutz ist das Passwort nach wie vor unverzichtbar. Es ist das einfachste Mittel zur Authentifizierung, die Verwaltung und Richtlinien-Durchsetzung gestaltet sich aber zunehmend komplex. Abhilfe kann die Self-Service-Lösung „Passwort Manager“ von Dell Software schaffen.

Der Passwort-Manager von Dell Software erweitert unter anderem die Anmeldemaske unter Windows Server 2012.
Der Passwort-Manager von Dell Software erweitert unter anderem die Anmeldemaske unter Windows Server 2012.
(Bild: Dell Software)

Passwörter sollten möglichst komplex sein, um die Sicherheit im Unternehmen zu erhöhen. Im Active-Directory-Umfeld ist der Einsatz der typischen „drei-aus-vier-Kategorien“ (Klein-, Großschreibung, Sonderzeichen, Zahlen) zum Quasi-Standard avanciert.

Für bestimmte Anwendergruppen reichen diese Richtlinien allerdings nicht aus. In diesem Fall müssen zusätzliche Vorgaben umgesetzt werden, zum Beispiel die Hinterlegung einer Liste von nicht erlaubten Wörtern im Passwort (Unternehmensname, leicht zu erratende Begriffe).

Bildergalerie
Bildergalerie mit 11 Bildern

Je komplexer Passwörter sind, desto wahrscheinlicher ist es aber, dass diese vergessen werden. Hinzu kommt, dass Kennungen gesperrt werden, weil zu oft das falsche Passwort eingegeben wurde. Dies wird meistens durch automatische Anmeldungen nach Passwort-Änderungen verursacht. Zum Beispiel über Smartphones oder Remote-Anmeldungen.

Hilf dir selbst

Probleme mit Passwörtern und deren Rücksetzung machen etwa ein Drittel aller Helpdesk-Anfragen aus, wie regelmäßige Forrester- und HDI-Studien zeigen. Um den Support zu entlasten, bietet Dell Software einen Passwort-Self-Service an.

Dieser „Do it yourself“-Ansatz erlaubt es dem Anwender, sein Passwort eigenständig zurückzusetzen. Hierzu muss er persönliche Fragen beantworten, die von ihm selbst vorgegeben oder vom Administrator importiert wurden, und deren Antwort er nur selber kennt.

Dabei können für verschiedene Gruppen verschiedene Profile hinterlegt werden. Ein Anwender mit administrativen Rechten müsste also beispielsweise fünf Fragen richtig beantworten, während bei einem Standard-Anwender drei korrekte Antworten ausreichen. Bei einem Service-Account sollte es hingegen gar nicht möglich sein, Passwörter über den Self-Service zurückzusetzen.

Es können dabei mehrere Kategorien an Fragen definiert werden:

  • Mandatory: Diese Fragen müssen bei der einmaligen Registrierung beantwortet werden.
  • Optional: Hier kann der Anwender im Rahmen der Registrierung auswählen, welche vorgegebenen Fragen er beantworten möchte.
  • User-defined: Der Mitarbeiter darf beliebige Fragen formulieren und die Antworten dazu geben.

Integration in Systeme und Active Directory

Die Lösung von Dell Software ist komplett webbasiert und „spricht“ 17 Sprachen, darunter Englisch, Deutsch, Französisch und Chinesisch. Mit Microsoft Internet Explorer, Mozilla Firefox, Apple Safari und Google Chrome werden alle gängigen Internet-Browser unterstützt. Bei Client-Betriebssystemen wird der Anmeldebildschirm erweitert, so dass Passwörter auch hier – ohne Anmeldung – zurückgesetzt werden können.

Sämtliche Konfigurationen und Benutzerprofile werden mit TripleDES (192 Bit) oder aber mit AES-Verschlüsselung (192 Bit oder 256 Bit) gespeichert. Die geheimen Antworten auf die Fragen (Frage/Antwort-Profil) werden entweder in Form eines MD5-Hash hinterlegt oder den Einstellungen folgend verschlüsselt.

Da mit der Erweiterung Quick-Connect Passwörter vom Active Directory auch in andere Systeme synchronisiert werden können, lässt sich über die Passwort-Komplexitäts-Richtlinien genau definieren, wie Passwörter auszusehen haben. Eine Vorgabe könnte lauten, dass die erste Stelle des Passwortes kein Sonderzeichen sein darf, was oft bei Mainframe-Systemen der Fall ist.

Der Administrator kann auch eine Liste nicht erlaubter Wörter hinterlegen oder einschränken, welche Informationen aus welchen AD-Attributen (z.B. Vorname, Nachname, Stadt) im Passwort erlaubt sind. Dies ist dann nicht nur für Passwort-Änderungen über den Passwort-Manager gültig, sondern durch Installation eines Dienstes auf den Domain-Controllern auch für reguläre Passwortwechsel und -Rücksetzungen durch Administratoren.

Authentifizierung über das Telefon

Sollte das Frage-Antwort-Profil den Sicherheitsansprüchen nicht genügen, dann kann die Authentifizierung auch mithilfe eines automatisierten Telefonanrufes oder einer SMS erfolgen. Der Anwender erhält auf diesem Weg einen PIN-Code mitgeteilt, den er auf der Webseite eingeben muss, um auf sein Profil zugreifen zu dürfen.

Die Telefonnummer zum Zurücksetzen oder Sperren eines Benutzerkontos wird vorab im Active Directory hinterlegt, also mit dem User verknüpft. Auf diesem Weg wird sichergestellt, dass jeder Anwender nur Zugriff auf sein eigenes Profil erhält.

(ID:42434642)